專利名稱:報(bào)文內(nèi)容檢測與流控裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種用于網(wǎng)絡(luò)安全監(jiān)測、網(wǎng)絡(luò)分流及網(wǎng)絡(luò)內(nèi)容過濾的裝置�。背貫技術(shù)目前,網(wǎng)絡(luò)分流及內(nèi)容過濾裝置包括主控制器����、PCI接口、成幀器����、搜索加速器,該裝 置主要是針對2.5G速率網(wǎng)絡(luò)接入的數(shù)據(jù)包進(jìn)行分析處理的����,且只針對于數(shù)據(jù)協(xié)議頭中的某 些字段對數(shù)據(jù)包進(jìn)行分類、過濾����。系統(tǒng)根據(jù)用戶自己配置的分類規(guī)則(目的IP地址+源IP地 址+協(xié)議號(hào)+目的端口號(hào)+源端口號(hào))進(jìn)行過濾處理。而且其規(guī)則表不超過16K, 2.5G的處 理速率也將影響和限制著內(nèi)容檢測設(shè)備在離速網(wǎng)絡(luò)千線上的使用�,同時(shí)搜索篩選的條件不斷 增加,16K規(guī)則表也越來越無法適應(yīng)現(xiàn)有網(wǎng)絡(luò)的高速要求與更加復(fù)雜的分析檢測規(guī)則的運(yùn)用 市場。發(fā)明內(nèi)容本實(shí)用新型的目的是要提供一種報(bào)文內(nèi)容檢測與流控裝覽����,該裝置處理速率大于2.5G���, 能滿足網(wǎng)絡(luò)的高速要求與更加復(fù)雜的分析檢測規(guī)則。本實(shí)用新型的目的是這樣實(shí)現(xiàn)的該裝置包括主控制器�����,主控制器的通訊連接口與PCI 接口相連�����,主控制器的第一輸入輸出口和第二輸入輸出口分別連接有一個(gè)高速硬件多隊(duì)列管 理器���,主控制器的第三輸入輸出口通過高速緩沖區(qū)總線與高速緩沖區(qū)相連�,主控制器的第四 輸入輸出口連接有可編程邏輯控制器��,可編程.邏輯控制器的第一通訊口通過成幀器與光纖輸 出接口相連�����,可編程邏輯控制器的第二通訊口與光纖輸入接口相連�����,可編程邏輯控制器的第 三通訊口與并行內(nèi)容尋址存儲(chǔ)器相連�。本實(shí)用新型針對現(xiàn)階段網(wǎng)絡(luò)高速發(fā)展的不斷需求而設(shè)計(jì),采用了先進(jìn)的并行基于內(nèi)容尋 址和地址尋址査表算法���、髙速多隊(duì)列管理.不僅可以對源1P地址��、目的IP地址��、源端口號(hào)��、 目的端口號(hào)和協(xié)議類型以及報(bào)文負(fù)載苜部的前20字節(jié)進(jìn)行任意組合的內(nèi)容査表�����,更可以實(shí) 現(xiàn)對報(bào)文負(fù)載中任何位置的特征關(guān)鍵詞識(shí)別�����,從而可以在硬件級(jí)對10G速率報(bào)文進(jìn)行逐報(bào) 內(nèi)容級(jí)識(shí)別和流控�。本實(shí)用新型具有以下優(yōu)點(diǎn)1�、 對10G速率網(wǎng)絡(luò)接入的數(shù)據(jù)包進(jìn)行分析2、 根據(jù)數(shù)據(jù)包協(xié)議頭中的某些字段對數(shù)據(jù)包進(jìn)行分類��、過濾�;3、 源IP地址、目的IP地址����、源端口號(hào)、目的端口號(hào)和協(xié)議類型以及報(bào)文負(fù)載首部的 前20字節(jié)進(jìn)行任意組合的內(nèi)容査表����,更可以實(shí)現(xiàn)對報(bào)文負(fù)載中任何位置的特征關(guān)鍵詞識(shí)別;4���、 可更具用戶設(shè)定特定的規(guī)則對報(bào)文數(shù)據(jù)內(nèi)容進(jìn)行過濾和截獲�����。從而可以在硬件級(jí)對10G 速率報(bào)文進(jìn)行逐報(bào)內(nèi)容級(jí)識(shí)別和流控�;5����、 64K的規(guī)則表,是原檢測規(guī)則表分析能力的4倍����。
圖1是本實(shí)用新型一個(gè)實(shí)施例的電路原理示意圖。圖2是圖1中的PCI接卩電路圖�。圖3是圖1中的主控制器電路圖。圖4是圖1中的高速硬件多隊(duì)列管理器電路圖�。圖5是圖1中的并行內(nèi)容尋址存儲(chǔ)器電路圖。
具體實(shí)施方式
在圖1中����,主控制器MPU的通訊連接口 A1-A31與PCI接口相連,主控制器MPU的第 --輸入輸出口 D0-D30連接有商速硬件多隊(duì)列管理器IDT1,主控制器MPU的第二輸入輸出口 D31—D63連接有高速硬件多隊(duì)列管理器IDT2,主控制器MPU的第三輸入輸出口 BAO~ BA63通過高速緩沖區(qū)總線RAM BUS與高速緩沖區(qū)RAM相連�,主控制器MPU的第四輸入 輸出口 FPDO—FPD63連接有可編程邏輯控制器FPGA,可編程邏輯控制器FPGA的第一通 訊口 FPDQM0~FPDQM63通過成幀器PMC與光纖輸出接口 RJl相連����,可編程邏輯控制器 FPGA的第二通訊口 R0—R7與光纖輸入接口 RJ2相連,可編程邏輯控制器MPU的第三通 訊口 FBAAO—FBAA63與并行內(nèi)容尋址存儲(chǔ)器CAM相連��。各部分電源采用直流3�,3V。PCI接J部分采用NS8392�。數(shù)據(jù)處理流程如下10G網(wǎng)絡(luò)報(bào)文通過光纖進(jìn)入高逨硬件多隊(duì)列管理器IDT并同時(shí)與并行內(nèi)容尋址存儲(chǔ)器 CAM協(xié)同工作,MPU控制搜索加速器PMC TEMU X336協(xié)同高速緩沖區(qū)RAM規(guī)則表按存 儲(chǔ)在CAM中的規(guī)則對數(shù)據(jù)報(bào)文進(jìn)行報(bào)文報(bào)頭及報(bào)文內(nèi)容比較匹配�����。并將結(jié)果通過PCI接口 送入控制服務(wù)器按設(shè)定處理����。對于10Gb i t / s端口�,該裝置在采用RAMBUS技術(shù)與并行內(nèi)容尋址存儲(chǔ)技術(shù)相 結(jié)合最終使得測試結(jié)果達(dá)到預(yù)期目標(biāo)����。主控制器MPU負(fù)責(zé)整個(gè)設(shè)備的管理和控制,直接接收來自網(wǎng)管中心的指令���,并下發(fā)到 各接口板執(zhí)行指令����,同時(shí)各接口板把運(yùn)行狀態(tài)和統(tǒng)計(jì)數(shù)據(jù)傳送到主控制器MPU,由主控制 器MPU進(jìn)行必要的處理�,諧要時(shí)發(fā)給網(wǎng)管中心。主控制器MPU采用IBM的NP4GS3C2.5G 網(wǎng)絡(luò)處理器����,是為能準(zhǔn)確瓶效處理上面的各項(xiàng)信息的有力保證。并行內(nèi)容尋址存儲(chǔ)器C AM (Content Addressable Memory) 是一種特殊的存儲(chǔ)陣列���。它具有將輸入數(shù)據(jù)與CAM中存儲(chǔ)的所有數(shù)據(jù)項(xiàng)同時(shí)進(jìn)行比較��,迅 速判斷 輸入數(shù)據(jù)是否與C AM中存儲(chǔ)的數(shù)據(jù)項(xiàng)相匹配����,并給出數(shù)據(jù)項(xiàng)對應(yīng)地址和匹配信息的 特點(diǎn)���,本設(shè)備采用MOTOROLA公司的CAM芯片—MCM6 9 C 2 3 3實(shí)現(xiàn)數(shù)據(jù)檢索 與匹配功能.是一款10Gbps的高性能內(nèi)容可尋址存儲(chǔ)器MCM69C233可存儲(chǔ)4 0 9 6條寬度為6 4位的數(shù)據(jù)項(xiàng)�。MCM69C233有 兩個(gè)數(shù)據(jù)端口控制端口 (Control Port)和匹配端「] (Match P o r t )。 控制端口用于C AM表(C AM T a b i e )的操作���,除用于數(shù)據(jù)項(xiàng)的增加/刪除、校驗(yàn)�、 統(tǒng)計(jì)外,還可以讀取芯片內(nèi)部狀態(tài)寄存器的信息�����。數(shù)據(jù)的檢索通過匹配端口完成�����。MCM6 9 C 2 3 3沒有用于確定內(nèi)容存儲(chǔ)地址的地址總線�����,地址線A 0 A 2用于對片內(nèi)控制寄存 器的尋址�����。在寫CAM模式下�����,MCM6 9 C 2 3 3從控制端H數(shù)據(jù)線DQ 0 DQ1 5讀 取需要寫入的數(shù)據(jù)項(xiàng),數(shù)據(jù)項(xiàng)的存儲(chǔ)地址由芯片內(nèi)部邏輯控制����。用戶可對MCM6 9C2 3 3的匹配規(guī)則進(jìn)行編程,在讀CAM模式(査找匹配)時(shí)�,MCM6 9 C 2 3 3直接從匹 配口數(shù)據(jù)線MQ0 MQ3 l讀入數(shù)據(jù),并按照預(yù)先定義的匹配規(guī)則將輸入數(shù)據(jù)項(xiàng)與陣列中 的所有數(shù)據(jù)項(xiàng)進(jìn)行并行比較���。如果數(shù)據(jù)項(xiàng)存在��,匹配口輸出該數(shù)據(jù)項(xiàng)的索引值���,且MS為O; 如果數(shù)據(jù)項(xiàng)不存在,MS為1�����。山于比較過程只需一個(gè)時(shí)鐘周期�,所以速度極快。高速硬件多隊(duì)列管理器IDT1��、 1DT2 :本裝置采用10Gbps多隊(duì)列流量控制芯片IDT 72P51777L6���,本芯片的釆用多隊(duì)列FIFO新 型存儲(chǔ)器技術(shù)���,能^^有效地支持QoS的高速實(shí)現(xiàn)��。并能為改善網(wǎng)絡(luò)服務(wù)質(zhì)量和其它需要對 隊(duì)列數(shù)據(jù)重新排序的應(yīng)用而設(shè)計(jì)的�����,它既支持靈活的數(shù)據(jù)區(qū)分應(yīng)用,又避免了復(fù)雜的片外控 制邏輯����。其與主控板的連接主要通過18根讀,寫���,制器器(OV/PAE/PR/PAEN/PRN���,F(xiàn)F/PAF/PAFN), demux64位輸入數(shù)據(jù)線����,及64位mux輸出數(shù)據(jù)線 相連完成數(shù)據(jù)硬件級(jí)的檢測和排隊(duì)。 1 �����、多隊(duì)列FIFO介紹該器件配備有嵌入式FIFO存儲(chǔ)器核心和高速隊(duì)列邏輯,具有很高的數(shù)據(jù)傳輸帶寬和靈 活的可配置性�。該器件單芯片最高支持10. 2Gbps持續(xù)傳輸速率和最多支持32個(gè)子隊(duì)列, 器件級(jí)聯(lián)最多支持256個(gè)子隊(duì)列���。只需一個(gè)FIFO即可緩存多種數(shù)據(jù)流�����,有助于用戶選擇不 同的隊(duì)列執(zhí)行獨(dú)立的讀寫功能��。多隊(duì)列FIFO不僅提供諸如數(shù)據(jù)緩存����、隊(duì)列滿空狀態(tài)指示���、寫/讀時(shí)鐘獨(dú)立和寫/讀總 線匹配等傳統(tǒng)的FIFO功能���,而且支持整包操作模式(Packet Mode)和數(shù)據(jù)區(qū)分排隊(duì),從而消 除了以前用品貫復(fù)雜的操作邏輯來實(shí)現(xiàn)類似功能�����。多隊(duì)列FIFO是在--個(gè)物理器件內(nèi)提供可 區(qū)分的多個(gè)邏輯子隊(duì)列的存儲(chǔ)器?�?蓞^(qū)分是指各子隊(duì)列可以獨(dú)立寫/讀�,且各子隊(duì)列有獨(dú)立 的狀態(tài)指示。2多隊(duì)列FIFO的FPGA控制FPGA對多隊(duì)列F1F0的控制體現(xiàn)在三個(gè)方而配置�、寫操作和讀操作。 2. 1多隊(duì)列FIFO的配覽新款I(lǐng)DT多隊(duì)列流量控制器件向系統(tǒng)設(shè)計(jì)人員提供了最新的解決方案���,使得僅用一個(gè)高 度集成器件就能夠進(jìn)行可選擇的多個(gè)可區(qū)分的順序數(shù)據(jù)存取操作��。這--靈活的功能可由一系 列器件設(shè)置選項(xiàng)來實(shí)現(xiàn)。與以前的單隊(duì)列FIFO器件(如IDT36卯)不同的是����,多隊(duì)列FIFO有 相對復(fù)雜的可配置性,除寫/凌-端口總線寬度可由芯片管腳直接設(shè)定外����,還有相應(yīng)的兩種配 置方式默認(rèn)配置和串行配置,'其中串行配置又稱用戶自定義配置����,是一種新的器件特性。多隊(duì)列FIFO的可配覽項(xiàng)有(a)器件內(nèi)邏輯子隊(duì)列數(shù)量(b)各子隊(duì)列的存儲(chǔ)深度����;(C)各 子隊(duì)列的PAF(幾乎滿)偏移值�����;(d)各子隊(duì)列的PAE(兒乎空)偏移值(普通模式下有效����,整包模 式下轉(zhuǎn)變?yōu)檎甘綪R)�����。用戶對多隊(duì)列FIFO的配置有很大的靈活性�����。舉例來說���,IDT72V51336 IDT72V51356可 以配置成1 8個(gè)隊(duì)列���,每個(gè)隊(duì)列的深度設(shè)定都是相互獨(dú)立的。標(biāo)志位是用戶可編程的����,且 各子隊(duì)列獨(dú)立�����。配置可通過專門的串行編程口進(jìn)行�����,如果不需要對器件編程也可以用默認(rèn)模 式���。串行配置是指配覽多隊(duì)列FIFO的數(shù)據(jù)是逐比特串行送入器件的。在多隊(duì)列FIFO器件內(nèi) 部有存放配置數(shù)據(jù)的寄存器�,這些寄存器以18位為一基本單位。設(shè)Q為器件配置的子隊(duì)列 數(shù)�����,Qm狀為改器件所支持的最火子隊(duì)列數(shù)����,則器件內(nèi)有(Qmaxx4+l)個(gè)寄存器�����。單器件配置 所需的比特?cái)?shù)據(jù)量Sum為18+Qx72十l。最后一比特為配置結(jié)束指示�,假如設(shè)計(jì)中Q=8, 則Sum-l 9+8x72-595比特����。2. 2寫操作多隊(duì)列FIFO使用于隊(duì)列地址Wradd/Rdadd區(qū)分各個(gè)寫/讀子隊(duì)列,用鎖定有效信號(hào) Waden/Raden的髙電平指定新的寫/讀子隊(duì)列��,寫/讀使能是Wen / Ren����。多隊(duì)列FIFO 寫操作相比寫隊(duì)列地址的切換存在延后效應(yīng),即寫總線上的數(shù)據(jù)送入新的子隊(duì)列是發(fā)生在鎖 定新子隊(duì)列地址后的第二個(gè)寫時(shí)鐘周期�����。如果能夠利用此時(shí)序特征�����,提前兩個(gè)周期鎖定新的 子隊(duì)列地址��,則可以做到100%使用寫總線周期�����。當(dāng)子隊(duì)列滿指示FF有效時(shí),新的數(shù)據(jù)無 法寫入該隊(duì)列�,會(huì)發(fā)生數(shù)據(jù)丟失。一般為了避免這種情況��,都要配置好PAF偏移值���,在看 到PAFn 拉低有效后����,停止寫入操作�����。2. 3讀操作與寫操作類似的讀操作也存在相對讀隊(duì)列地址的延后效應(yīng)�,即在新隊(duì)列地址鎖定后的第 三個(gè)讀時(shí)鐘周期,讀總線上呈現(xiàn)的數(shù)據(jù)轉(zhuǎn)變?yōu)樾伦雨?duì)列內(nèi)的數(shù)據(jù)�����。所以若能夠提前三個(gè)周期 鎖定新隊(duì)列��,則可以做到100%讀總線利用率��。當(dāng)選定隊(duì)列狀態(tài)為空時(shí)�����,讀端口上呈現(xiàn)全髙 電平��。配置好PAE偏移值后���,通過査看PAEn 便可以得知隊(duì)列的空或非空狀態(tài)�,并提前做 好讀或切換新隊(duì)列的動(dòng)作��。權(quán)利要求1.一種報(bào)文內(nèi)容檢測與流控裝置�����,該裝置包括主控制器��,主控制器的通訊連接口與PCI接口相連��,主控制器的第一輸入輸出口和第二輸入輸出口分別連接有一個(gè)高速硬件多隊(duì)列管理器����,其特征是主控制器的第三輸入輸出口通過高速緩沖區(qū)總線與高速緩沖區(qū)相連,主控制器的第四輸入輸出口連接有可編程邏輯控制器���,可編程邏輯控制器的第一通訊口通過成幀器與光纖輸出接口相連�,可編程邏輯控制器的第二通訊口與光纖輸入接口相連,可編程邏輯控制器的第三通訊口與并行內(nèi)容尋址存儲(chǔ)器相連�。
專利摘要本實(shí)用新型公開了一種用于網(wǎng)絡(luò)安全監(jiān)測、網(wǎng)絡(luò)分流及網(wǎng)絡(luò)內(nèi)容過濾的報(bào)文內(nèi)容檢測與流控裝置��,該裝置的主控制器的第三輸入輸出口通過高速緩沖區(qū)總線與高速緩沖區(qū)相連���,第四輸入輸出口連接有可編程邏輯控制器�����,可編程邏輯控制器的第一通訊口通過成幀器與光纖輸出接口相連���,第二通訊口與光纖輸入接口相連,可編程邏輯控制器的第三通訊口與并行內(nèi)容尋址存儲(chǔ)器相連����。對10G速率網(wǎng)絡(luò)接入的數(shù)據(jù)包進(jìn)行分析;根據(jù)數(shù)據(jù)包協(xié)議頭中的某些字段對數(shù)據(jù)包進(jìn)行分類����、過濾;可更具用戶設(shè)定特定的規(guī)則對報(bào)文數(shù)據(jù)內(nèi)容進(jìn)行過濾和截獲����。可以在硬件級(jí)對10G速率報(bào)文進(jìn)行逐報(bào)內(nèi)容級(jí)識(shí)別和流控�;64K的規(guī)則表是原檢測規(guī)則表分析能力的4倍。
文檔編號(hào)H04L12/56GK201294544SQ20082015971
公開日2009年8月19日 申請日期2008年10月27日 優(yōu)先權(quán)日2008年10月27日
發(fā)明者輝 嚴(yán), 周云飛, 詳 李, 濤 楊 申請人:江蘇集群信息產(chǎn)業(yè)股份有限公司